校園網絡信息安全的問題與對策分析

張瑜潔

（北京國家會計學院，北京 101312）

1 校園網絡信息安全的特點

當今的數字化校園建設，將整個校園的功能范疇以信息化形式囊括起來，其涵蓋了教學教務管理、行政辦公建設、信息技術保障和后勤保障等多方位范疇，并逐步趨向智慧型校園快速發展。校園網絡信息安全基于校園生活的特殊性，并作為技術保障重點，貫穿于整個數字化校園建設過程中，其主要體現了以下四個特點。

（1）校園局域網絡安全問題蔓延快、影響大。目前，校園網絡普遍使用了千兆及萬兆網絡與主干網絡互聯，其承載著上千甚至上萬的校園網用戶，且用戶群體密集、帶寬利用率高位運行。因此，當校園網出現信息網絡安全問題時，極易導致安全問題在局域網內迅速蔓延，網絡用戶受影響性呈群體性、廣泛性。

（2）校園網計算機網絡系統涉及面廣、管理復雜。處于校園網中的計算機網絡設備，不僅包含校園數字化建設相關的服務器與網絡設備，還包括教師自主采購的授課計算機硬件及軟件、學生宿舍的個人計算機和計算機教室的各類專業硬件設備及軟件資源。其中包含學校信息技術部門統一管理的信息資源，還包含未經專人統一定期維護的計算機網絡設備。面對校園網中所有的計算機網絡終端，欲實施統一的資產管理和安全管理辦法非常困難。

（3）校園網用戶自身使用特點。使用校園網的學生用戶作為最活躍的校園網用戶，好奇心強、法律意識比較淡薄，若學校沒有對其進行充分的信息網絡安全教育，極易導致學生用戶以校園網為試驗對象，學習大量計算機網絡專業知識，編寫病毒程序或產生黑客行為對校園網進行技術攻擊。

（4）共享資源缺乏管理。由于在校學生普遍缺乏版權意識，盜版軟件、盜版影視資源，甚至非法軟件在校園網中被普遍復制和使用，其中可能隱藏病毒、木馬、后門等惡意代碼，極易被攻擊者侵入和利用。這些資源的傳播一方面占用了大量的網絡帶寬，另一方面也給校園信息網絡帶來了相當大的安全隱患[1]。

2 校園信息網絡安全問題分析

2.1 正確的信息安全觀樹立不足

（1）信息安全體系的整體性布局考慮欠缺。在信息時代，網絡信息安全同許多其他方面（文化安全、社會安全、資源安全等）都有著密切關系。整體考慮，而不只關注一點，是當前信息安全整體戰略布局需要思考的問題。

（2）信息安全技術是動態發展而非靜態停滯。信息技術變化越來越快，過去分散獨立的網絡變得高度關聯、相互依賴，網絡安全的威脅來源和攻擊手段不斷變化，企圖依靠裝某幾個安全設備和安全軟件就想永保安全的想法已不合時宜。

（3）信息安全的管理和宣傳相對封閉。只有立足開放環境，加強對外交流、合作、互動、博弈，吸收先進技術，信息安全水平才會不斷提高。

（4）信息安全的保障程度是相對的而不是絕對的。在網絡信息安全世界，沒有絕對的安全。應立足校園自身發展實際，充分考慮自身的安全等級定義，避免不計成本追求絕對安全，導致背上沉重負擔，甚至可能顧此失彼。

（5）信息安全的建設主體是共同的而不是孤立的。信息安全是數字化信息化發展的基本保障，維護信息安全是校園內所有組織機構的共同責任，需要所有組織機構、師生共同參與，共筑信息安全防線。

2.2 多層級安全防護機制有待提升

2.2.1 缺乏全天候全方位感知網絡安全態勢的能力

對于日常發生的信息安全意外事件，相關信息技術人員試圖從中獲取故障發生的深層原因以解決根本問題，但這種方式非常被動。感知網絡安全態勢是最基本最基礎的工作，而全天候全方位感知的要求就更佳嚴格。全天候全方位是一種時間和空間上的全覆蓋，注重問題需防患于未然。也是目前校園信息化安全風險監控的短板。

2.2.2 需加快升級關鍵信息基礎設施安全保障體系

關鍵信息基礎設施是校園信息系統運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標?！拔锢砀綦x”防線可被跨網入侵，調配指令可被惡意篡改，交易信息可被竊取，這些都是重大風險隱患。不出問題則已，一出就可能導致業務中斷，具有很大的破壞性和殺傷力。目前亟須深入研究，采取有效措施，切實做好校園關鍵信息基礎設施的安全防護工作。

（1）信息安全建設管理分散、不成聚合。數字校園建設中的信息系統大多委托承建單位進行業務系統建設。隨業務系統數量的不斷增多，第三方供應鏈安全管理、統一執行相關責任部門的信息網絡安全行為管理已成為校園信息系統日常管理的新問題。如何處理好安全和發展的關系，做到網絡安全與信息化建設同時推進、保證業務連續運行，需要所有相關部門單位共同配合解決，這是管理與技術雙方面都需要考慮的綜合問題。

（2）需進一步落實綜合性的應急方案和安全管理制度。目前，各大、中小學校針對信息化安全管理，基本制定了一系列信息網絡安全規章制度。但涉及的問題和范疇既有重合也有分散，并沒有從管理制度上形成一整套安全管理機制。隨著業務系統的不斷升級和增加，需要及時更新和完善相關的安全應急保護制度。

與此同時，如何將《中華人民共和國網絡安全法》《信息安全技術網絡安全等級保護基本要求》和《中華人民共和國數據安全法》與校園信息安全建設結合起來，使現有制度更加完善、新政策落地可行且行之有效，是管理與技術人員正在面對的棘手問題。

3 校園信息網絡安全問題應對對策

3.1 完善并落實信息網絡安全綜合管理制度

實際上，一種方案并不能保證系統一勞永逸，網絡安全問題遠遠不是防毒軟件和防火墻能夠解決，也不是由大量安全防護產品堆砌而成。針對于校園信息安全管理工作的問題瓶頸，首先要確立一套完整的信息網絡安全綜合管理制度。具體包含以下方面。

（1）結合國家法規建立信息安全綜合管理制度。結合《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等法規建立信息安全綜合管理制度，同時整合校園現有制度內容，改變現在的信息安全管理制度中不匹配、重疊、交叉的環節，從安全體系架構的角度合理規劃、合理建設、甚至適度精簡，具體建設思路是：一是站在數字化校園建設整體發展角度把握整體規劃大方向；二是從按功能性區分管理變更為統一整體規劃；三是將現有信息安全辦法合并，進行統一更新并持續跟進。

（2）完善各業務系統責任管理辦法。為了落實業務系統的安全保護管理工作，進一步強化全系統安全的監督管理工作，進一步降低風險產生。

（3）落實網絡安全責任制和監督檢查工作。信息安全工作應首先明確工作任務內容，并執行定期巡檢機制，落實日常安全保護工作。定期進行報表檢查和安全現場檢查，對網絡安全設施責任人進行監督問責。

（4）增設“提升用戶計算機網絡安全意識”的定期宣傳工作。定期做好日常計算機安全防護的宣傳工作，不僅為了保護師生個人的數據安全，而且也從另一角度防止黑客或病毒用過攻陷個人計算機從而進一步大肆攻擊校園內部網絡。

（5）加強網絡安全教育培訓。一是定期對在校師生開展全面網絡安全意識培訓，提高網絡安全意識。二是對于校園信息化管理人員和技術人員，開展網絡安全素養培訓。三是使校園系統運維和安全技術人員參加專業技術培訓，獲得相關資質證書，全面提升網絡安全防范技能和水平。

（6）開展安全監測和應急演練。重視日常安全威脅檢測工作，通過配備工具或購買服務的方式對系統進行安全實時檢測，確保第一時間發現問題。根據國家和教育系統網絡安全應急預案制訂符合校園自身條件的專項應急預案和配套管理制度，如有條件，可開展實戰攻防演練。

3.2 轉變傳統思路是信息化安全建設的里程碑

大量的實踐案例證明，傳統的安全解決思路和技術手段已不適合現代大數據網絡環境。調整思路、突破技術核心，掌握安全防護主動權，是新一代信息安全建設的前提條件。

（1）以“控制風險”代替“防范威脅”。提升系統運行穩定性，應該變“被動防御安全威脅”為“主動控制安全風險”，以“主動出擊”的理念進行實際工作部署，其防御效果會極大地提升。

（2）以“持續跟蹤系統健康狀態”取代“關注應激響應事件”。對于日常發生的系統意外事件，試圖從中獲取故障發生規律以解決根本問題，但這種方式非常被動。以“持續跟蹤系統健康狀態”取代“關注應激響應事件”，以主動姿勢進行管理維護工作，將極大地降低業務系統的故障發生率，提升業務連續性。

（3）將執行信息網絡安全工作常態化。將信息安全工作進行定義、分類、量化，制定常態化安全工作目標，并建設安全工作基線與工作流程，對日常信息安全工作進行分解和落實，最終實現安全工作部署、安全事件分析、安全狀態預測預測和輔助安全規劃決策的常態化運行。

3.3 多視角考慮網絡信息安全工作

（1）結合投資回報率的財務視角考慮信息化安全產品的選型問題。研究對于現有安全問題的解決策略，調研未來技術發展趨勢，同時也需要從安全系統投資回報率的財務視角進行思考。一是緊抓校園信息化建設重點。根據信息化建設重點制定風險容忍度等級，統籌安排安全措施大類，在規范好的范圍內進行產品選型工作。二是建立成本分析模型。將信息安全產品預算、成本、風險可能的發生率和降低可能風險的概率等參數進行量化。在量化過程中，可調整成本，對比不同方式的成本與投資回報率。

（2）從項目管理視角完整對待業務系統建設。在數字化校園信息系統建設過程中，按項目管理的方式進行監控和檢查。對各信息系統承建單位提出的責任管理辦法是信息系統項目管理辦法中的一項針對信息安全的重要要求，應在信息系統建設前即開始相應的項目安全管理計劃，并明確相關工作人員的執行責任與管理責任，以期將工作落實到位[2]。

3.4 校園網絡信息安全與信息化建設同步開展

網絡安全和信息化是一體之兩翼，必須統一籌劃、統一部署、統一推進、統一實施。在學院黨組織領導下，在進行信息化建設的同時，將各部門的積極性調動起來，共同參與維護信息網絡安全，共同參與推動信息化發展，共同參與互聯網對外交流合作，共同為校園信息化安全發展獻計獻策，共筑網上網下“同心圓”，這是校園新時期信息化建設的新亮點，其中包含以下四個方面。

（1）加強網上正面宣傳，旗幟鮮明地堅持正確政治方向、輿論導向、價值取向，積極培育和踐行社會主義核心價值觀，推進網上宣傳理念、內容、形式、方法、手段等創新。

（2）把網絡信息安全工作作為重要工作任務，當成一件大事來抓，每年對網絡信息安全工作專門安排部署，經常性召開會議，研究解決信息化安全方面的問題，推進網絡信息安全工作的開展。

（3）認真落實網絡信息安全監督管理職責，堅持誰使用、誰管理、誰負責的原則，強化責任意識。

（4）對校園工作人員和在校學生加大信息安全宣傳力度，強化教育引導，請有關單位和專家不定期組織開展信息安全知識培訓，引用反面典型案例，通過教育引導形成“加強信息安全，就是加強校園安全”的思想共識。

4 結束語

現代社會網絡大數據大發展的大環境對校園信息化建設和信息網絡安全建設提出了更高的要求。在教育新信息化2.0時代背景下，針對校園信息化建設實際情況，加強信息化安全保障具有時不我待的戰略意義。信息安全保障是一個綜合且互聯的整體，是人員、管理和技術三大要素的結合統一。在整體安全策略的控制和指導下，綜合運用管理方法和技術手段，將系統調整到“最高安全”和“最低風險”狀態，是信息安全建設的總目標和意義所在?！?/p>